Top Vulnerabilidades Críticas 08-04-2026

cve-2026-0740 afecta a Ninja Forms con carga no restringida de archivos que permite ejecución remota de código. Esta vulnerabilidad es crítica y se encuentra siendo explotada activamente, comprometiendo la seguridad del sistema. cve-2024-33434 afecta a un producto con ejecución remota de comandos debido a inyección por mala neutralización de elementos especiales. La explotación activa confirma su gravedad y la necesidad urgente de atención. cve-2026-22679 describe una vulnerabilidad de autenticación ausente que permite acceso no autorizado a funciones críticas en Kev. Esta falla representa un riesgo severo por explotación activa que compromete la seguridad operativa del sistema. cve-2021-4473 afecta a Apache Tomcat y permite la ejecución remota de comandos mediante inyección de comandos del sistema operativo. Esta vulnerabilidad es crítica y está siendo explotada activamente. cve-2026-3965 refleja una vulnerabilidad crítica con explotación activa que afecta a mecanismos de protección en un producto y fabricante no especificados, representando un riesgo significativo para la seguridad. cve-2023-39964 afecta a fit2cloud 1panel con una vulnerabilidad de recorrido de ruta que permite la ejecución remota de archivos no autorizados y se ha confirmado su explotación activa. cve-2026-1114 afecta a parisneo lollms y permite la suplantación de administradores mediante falsificación de tokens debido a una clave secreta débil. La vulnerabilidad tiene un impacto crítico en el control de acceso y la escalada de privilegios. cve-2025-39666 afecta a Checkmk y permite la escalada de privilegios locales a root mediante manipulación de archivos en comandos administrativos. Es una vulnerabilidad crítica con un impacto grave en la seguridad del sistema. cve-2026-5731 expone una vulnerabilidad crítica en Mozilla Firefox y Thunderbird que permite la ejecución remota de código mediante corrupción de memoria. Este fallo afecta tanto a navegadores como a clientes de correo electrónico, representando un riesgo alto para la seguridad. cve-2026-5734 afecta a Firefox y Thunderbird con fallos de seguridad en memoria críticos que permitirían ejecución remota de código. Se recomienda actualizar a versiones que corrigen estas vulnerabilidades para proteger la integridad y confidencialidad del sistema. cve-2026-5735 afecta a Mozilla Firefox y Thunderbird permitiendo ejecución remota de código por corrupción de memoria. Esta vulnerabilidad crítica requiere actualización inmediata para evitar explotación. cve-2026-5627 afecta a la plataforma anything-llm y permite acceso no autorizado o eliminación de archivos confidenciales, causando graves daños en la disponibilidad e integridad del sistema. La vulnerabilidad es crítica y ha sido explotada activamente, requiriendo actualización inmediata para evitar riesgos. cve-2026-20889 describe una vulnerabilidad crítica de desbordamiento de búfer en LibRaw que permite ejecución remota de código mediante archivos maliciosos. La falla afecta la gestión interna de imágenes RAW y compromete la seguridad del sistema al procesar datos no confiables. cve-2026-20911 afecta a LibRaw y permite ejecución remota de código mediante un desbordamiento de búfer en el montón al procesar un archivo especialmente diseñado. Esta vulnerabilidad crítica tiene un alto impacto en la seguridad de sistemas que utilizan esta biblioteca para procesar imágenes RAW. cve-2026-21413 afecta a la biblioteca LibRaw permitiendo ejecución remota de código debido a un desbordamiento de búfer en el montón. Es una vulnerabilidad crítica con explotación activa confirmada que puede comprometer sistemas al procesar archivos RAW maliciosos. cve-2026-35490 afecta a changedetection.io y permite la desactivación silenciosa de la autenticación en rutas específicas, dando acceso no autorizado. Se confirma explotación activa y severidad crítica. cve-2026-23696 afecta a Windmill CE y EE con una inyección SQL que permite la ejecución remota de código y acceso a datos sensibles. Esta vulnerabilidad crítica pone en riesgo la integridad y seguridad administrativa del sistema. cve-2026-35580 describe una inyección crítica en National Security Agency Emissary, que permite ejecución remota de comandos y un grave compromiso de la cadena de suministro. Esta vulnerabilidad afecta directamente a sistemas que usan flujos de trabajo con entrada de usuario sin sanitizar. cve-2026-35614 describe una inyección SQL crítica en el framework web Frappe que puede comprometer bases de datos. La vulnerabilidad permite ejecución de comandos maliciosos y afecta directamente la seguridad de la información. cve-2026-35615 afecta a sistemas multiagente y permite un acceso no autorizado a archivos del sistema debido a una falla en la comprobación de rutas. Esta vulnerabilidad es crítica y la explotación está confirmada, lo que representa un riesgo grave para la seguridad. cve-2026-39305 afecta a PraisonAI Action Orchestrator permitiendo escritura arbitraria de archivos por recorrido de ruta. Esta vulnerabilidad crítica permite comprometer la integridad y confidencialidad del sistema. cve-2026-4631 permite la ejecución remota de código en Red Hat Cockpit sin credenciales. Es una vulnerabilidad crítica que afecta el proceso de autenticación SSH y permite la inyección de comandos maliciosos. Esta falla compromete por completo la seguridad del sistema afectado. cve-2026-35573 afecta a ChurchCRM y permite la ejecución remota de código mediante la carga malintencionada de archivos que sobrescriben la configuración del servidor web. Esta vulnerabilidad es crítica y su explotación requiere autenticación de administrador. cve-2026-39324 presenta una vulnerabilidad crítica en RackSession que permite a atacantes sin autenticar manipular sesiones y obtener acceso no autorizado mediante cookies maliciosas. cve-2026-39337 afecta a ChurchCRM y permite la ejecución remota de código sin necesidad de autenticación, comprometiendo totalmente el servidor. La vulnerabilidad se encuentra en el proceso inicial de instalación debido a un manejo inadecuado de variables de contraseña. cve-2026-39339 afecta a ChurchCRM permitiendo acceso sin autenticar a datos protegidos mediante manipulación de la URL. Esta vulnerabilidad crítica permite la exposición total de información sensible en el sistema de gestión para iglesias. cve-2026-39342 afecta a ChurchCRM permitiendo inyección SQL en consultas avanzadas. Esta vulnerabilidad es crítica y su explotación permite control de base de datos. Se recomienda actualizar a la versión corregida. cve-2026-39355 es una vulnerabilidad crítica en Genealogy que permite a usuarios autenticados asumir el control total de espacios de trabajo de otros usuarios al transferir la propiedad de equipos arbitrarios. Esto implica un riesgo severo para la privacidad y la integridad de los datos de los equipos afectados. cve-2026-39322 describe una vulnerabilidad crítica de autenticación en PolarLearn que permite a usuarios baneados acceder y ejecutar acciones autenticadas. Esta falla implica un riesgo severo para la integridad y seguridad de datos de cuentas restringidas. cve-2026-39382 afecta a dbt labs dbt actions y permite ejecución remota de comandos debido a una inyección en un script de shell. Esta vulnerabilidad crítica está siendo explotada activamente. cve-2026-33439 describe una ejecución remota de código crítica en OpenAM por deserialización insegura que permite control total del servidor sin autenticación. cve-2026-39397 afecta a delmaredigital payload-puck permitiendo eludir controles de acceso en la API, lo que expone datos protegidos y funcionalidades administrativas. La falla se corrige actualizando a la versión segura del plugin. cve-2026-34078 afecta a Flatpak permitiendo la ejecución remota de código mediante enlaces simbólicos manipulados. Esta vulnerabilidad representa un riesgo crítico al comprometer la seguridad del sistema host a través del sandbox de aplicaciones. cve-2026-34580 afecta a la biblioteca criptográfica Botan y permite que certificados no confiables sean aceptados como raíces de confianza, comprometiendo la seguridad de las conexiones cifradas. cve-2026-39846 afecta al cliente de SiYuan Electron permitiendo la ejecución remota de código por almacenamiento inseguro en HTML. Esta vulnerabilidad crítica permite a un atacante controlar el entorno del usuario mediante notas sincronizadas maliciosas. cve-2026-39847 afecta a Emmett framework y permite la lectura no autorizada de archivos mediante un ataque de salto de directorio. Esta vulnerabilidad es crítica y ha sido explotada activamente debido a la falta de validación en el gestor de recursos estáticos internos. cve-2026-39933 afecta a la extensión GlobalWatchlist de Mediawiki, permitiendo la ejecución remota de scripts mediante Cross-Site Scripting debido a la falta de neutralización adecuada de entradas. Esta vulnerabilidad es crítica y ya ha sido confirmada su explotación activa. cve-2026-1346 afecta a productos IBM de gestión de identidad, permitiendo la escalada de privilegios a root mediante ejecución con privilegios exagerados. Esta falla crítica pone en riesgo la seguridad de sistemas que usan estos contenedores y plataformas de verificación de acceso. cve-2026-3296 afecta a Everest Forms plugin WordPress con inyección de objetos PHP que permite ejecución remota de código sin autenticación. La vulnerabilidad se basa en la deserialización insegura de datos almacenados en entradas de formularios, explotable al acceder a las entradas desde el panel de administración.